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(57) Abstract 

The invention concerns a method for processing an electronic system subjected to transient error constraints, which consists, in a 
specific real time cycle, in time multiplexing two virtual channels implanted on one single physical channel; the resulting data of each 
execution of a virtual channel being stored to be selected before use, and which consists, in the event an error is detected, in inhibiting the 
current real time cycle, and reloading a sound environment to carry out a rollback consisting in a nominal execution of the next cycle from 
the reloaded context. The invention also concerns a device for monitoring memory accesses. 

(57) Abrege- 

La prtsente invention conceme un proc6d6 de traitement d'un systeme flectronique soumis a des contraintes d'erreurs transitoires, 
dans lequel, dans un cycle temps reel donne\ on multiplexe dans le temps deux chaines vimielles implantees sur une seule chatne physique; 
les donndes resultantes de chaque execution d'une chaine virtuelle etent stockees afin d'etre votees avant utilisation, et dans lequel. en cas 
de d6tection d'errcur, on inhibe le cycle temps reel en cours, et on recharge un contexte sain pour effectuer une reprise consistant en une 
execution nominale du cycle suivant a partir du contexte recharge\ La presente invention conceme cgalement un dispositif de surveillance 
des acces mtfmoire. 
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PROCEDE DE TRAITEMENT D / UN SYSTEME ELECTRONIQUE SOUMIS 
A PES CONTRA INTES D' ERREURS TRANS ITQIRES 
ET DISPOSITIF DE SURVEILLANCE PES ACCES MEMO I RE 

DESCRIPTION 



5 DOMAINE TECHNIQUE 

La presente invention concerne un procede 
de traitement d'un systeme electronique soumis a des 
contraintes d'erreurs transitoires et un dispositif de 
surveillance des acces memoire, par exemple dans le 
10 domaine spatial. 

ETAT DE LA TECHNIQUE ANTERIEURE 

Le procede de 1 ' invention concerne toutes 
les architectures inf ormatiques soumises a des erreurs 
transitoires. Ainsi, par exemple, les domaines suivants 
15 utilisent des calculateurs soumis a des environnement s 
perturbants pour les composants electroniques 
(radiations, perturbations elect romagnetiques ) 

susceptibles d'engendrer de telles erreurs : 

- domaines spatial, nucleaire et 
20 aeronautique, ou 1 ' environnement est constitue entre 

autre d'ions lourds , 

- domaine automobile, soumis a un 
environnement electromagnetique severe. 

Dans la suite de la description, on 
25 considerera, a titre d' exemple, le domaine spatial du 
fait qu'il est tres representatif des erreurs 
transitoires aleatoirement generees sur des composants 
electroniques, et parce que c'est dans ce domaine qu ' a 
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ete initialement developpe et evalue le procede de 
1 • invention . 

Les concepteurs d ' architectures 

inf ormatiques pour satellites sont confrontes au 
5 probleme des radiations existantes dans l'espace, qui 
sur terre sont filtrees par 1 ' atmosphere . Ces 
radiations peuvent avoir pour effet un « evenement 
singulier » qui occasionne des changements d'etats 
temporaires de bits dans les composants memoires, dans 

10 les registres internes de microprocesseurs ou d'autres 
composants integres . Les erreurs engendrees par ces 
evenements singuliers peuvent, par exemple aboutir a la 
generation de donnees erronees , par exemple une 
mauvaise commande d'un actuateur d'un satellite, ou a 

15 une perturbation grave du sequencement du logiciel, par 
exemple plantage d'un microprocesseur . 

Jusqu'a present, la solution aux erreurs de 
type evenement singulier residait dans 1 ' utilisation de 
technologies de circuits integres peu sensibles a ce 

2 0 phenomene, dites « tolerantes aux radiations », voire 
insensibles, dites « durcies aux radiations ». De 
telles technologies, qui ne sont pas utilisees en 
micro-electronique industrielle , ont ete developpees 
specif iquement pour des applications militaires et 

25 spatiales . 

Le cout global associe a 1' existence de ces 
technologies micro-electronique et au developpement de 
composants utilisant de telles technologies, et done le 
cout de vente de ces composants, est tres eleve . Le 

30 ratio du cout entre un circuit durci et un circuit 
commercial peut etre de 100 ou plus. 

La part de marche des composants 
militaires, dit « haute fiabilite », a fortement chute, 
de 80% dans les annees 1960 a moins de 1% en 1995. A 

35 partir de 1994, le departement americain de la defense 
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a donne un coup de frein a 1 ' utilisation de composants 
electroniques militaires pour ses applications, et 
accelere le processus d' appropriation par les activites 
militaires des specif ications/normes /composants 

5 commerciaux. 

Comme deer it dans le document reference [1] 
en fin de description, 1 ' utilisation de composants 
electroniques commerciaux est devenu un challenge 
auquel est confronte le domaine spatial. 

10 L ' utilisation de composants commerciaux 

dans les applications spatiales est un probleme auquel 
est confronte tout pro jet de nouvelle generation. Un 
probleme majeur a resoudre est alors la sensibilite de 
ces composants aux radiations, et en particulier aux 

15 ions lourds : cet aspect qui etait traite au niveau 
« composant » anterieurement , doit alors etre resolu au 
niveau «. architecture et « systeme >-> , Comme decrit 
dans les deux documents references [2] et [3] , les 
satellites, et done leur electronique embarquee, sont 

20 en effet soumis a un environnement radiatif, compose de 
differentes particules (electrons, ions lourds, 
protons) , que ne connaissent pas les systemes utilises 
au sol car ces particules sont filtrees par 
1 ' atmosphere . 

25 Ces particules peuvent etre dues : 

- au rayonnement cosmique d'origine en partie extra 
galactique, en partie galactique, constitue d'ions 
extremement energetiques , 

- aux ceintures de radiation constitutes d' electrons et 
3 0 de protons pieges engendres suite a des interactions 

entre 1 ' atmosphere terrestre et des particules 
solaires , 

- aux eruptions solaires qui emettent des protons ou 
des ions lourds, 
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- au vent solaire genere par 1 ' evaporation du plasma 
coronal, permettant 1 ' echappement a 1' attraction 
gravitationnelle du soleil de protons et d'ions de 
faible energie. 

5 Ces particules energetiques, en percutant 

et traversant un composant electronique, lui 
transferent une partie de leur energie qui va perturber 
le bon f onctionnement de celui-ci. On considere ici les 
problemes nommes « evenements singuliers », crees par 
10 les ions lourds et les protons. 

Ces evenements singuliers correspondent a 
la generation d'erreurs dans des cellules qui 
memorisent des valeurs binaires , d'ou des erreurs de 
bits. En regie generale, un seul bit est modifie par un 
15 ion lourd. Ces evenements ne sont pas destructifs et 
l'on peut par la suite ecrire une nouvelle donnee ; 
celle-ci est memorisee sans erreur f a mo ins de* 
1' apparition d'un autre evenement singulier dans cette 
meme cellule. C'est la raison pour laquelle on utilise 
20 dans la suite le terme « faute transitoire » pour 
caracteriser les erreurs engendrees par ces phenomenes . 

Comme on l'a deja presente ci-dessus, la 
realisation de 1 ' electronique embarquee sur satellite 
est la plupart du temps realisee avec des composants 
25 insensibles aux radiations, soit specif iquement 
fabriques pour cela, soit obtenus par selection de 
composants non specif iquement fabriques pour cela. 

Pour pouvoir utiliser des composants 
commerciaux dans le domaine spatial sur une large 
3 0 echelle, une premiere possibilite est une selection par 
test en radiation systematique des composants 
commerciaux. Une telle methode serai t non seulement 
tres couteuse sur le plan de la selection, mais encore 
un pis aller car elle ne permet pas forcement 
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d'utiliser les grands standards de l'industrie, ce qui 
est pourtant souhai table. 

Une deuxieme possibility economiquement 
plus rentable permet de reduire les contraintes sur les 
5 choix de composants . Elle . consiste a trouver une 
methode permettant de tolerer. les phenomenes engendres 
par les radiations, en particulier les erreurs 
transitoires, c'est-a-dire definir des architectures 
permettant de detecter les. erreurs, puis de les 

10 corriger. La prise en compte des fautes transitoires 
est alors transferee du niveau « composant » au niveau 
« architecture » et « systeme ». 

Un ensemble de mecanismes de detection, 
isolation et recouvrement de fautes est decrit dans les^ 

15 documents references [4], [5] et [6]. Certains- 
mecanismes permettent simplement de detecter des 
erreurs, d'autres de les detecter puis de les masquer , 
voire de les corriger. Par ailleurs, ces mecanismes, 
sont adaptes au traitement soit de fautes temporaires , 

20 soit de pannes definitives, soit des deux. 

Un rappel succinct de mecanismes usuels est 
propose ci-dessous, avec quelques exemples 

d' application en particulier dans le domaine spatial : 

- Evitement de fautes : raf raichissement 

2 5 systematique des donnees statiques avant leuir 
utilisation effective ; autotests dits « off-line » (en 
dehors du f onctionnement nominal) permettant de 
detecter une panne de composant avant que celui-ci ne 
soit utilise . 

30 - Codes detecteurs ou detecteurs/ 

correcteurs d' erreurs qui s'appliquent aux memoires , 
aux communications, et eventuellement a la logique, 
essentiellement dans la realisation de circuits 
integres specif iques d'une application (ASIC) ou de 

35 circuits logiques programmables par 1 ' utilisateur 
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(FPGA) a controle integre . Des circuits a detection et 
correction d'erreurs (EDAC) sont systematiquement 
utilises en spatial sur les plans memoire. Une fonction 
de relecture systematique (ou « scrubbing ») de tout le 
5 plan memoire est associee a ces circuits et s ' execute 
en tache de fond afin d'eviter 1 ' accumulation d'erreurs 
dormantes qui , a terme, pourraient mettre en defaut la 
possibility de detection/correction. 

Duplication et comparaison, ou 
10 triplication et vote majoritaire (« N Modular 
Redondance », redondance modulaire d'ordre N) . Ces 
mecanismes permettent d'obtenir des architectures sures 
(« fail safe ») lors d'une panne qui ne genereront pas 
de mauvaise commande mais qui s ' arreteront a la 
15 premiere faute (duplex) , ou des architectures restant 
operationnelles (« fail operational ») lors d'une 
panne, qui auront la capacite de masquer une erreur 
simple en temps reel et de poursuivre en restant 
« sures » (triplex) . On trouve egalement dans cette 
20 classe les architectures maitre/controleur ou 1 * on 
duplique uniquement les microprocesseurs , les donnees 
sortant du « maitre » etant verifiees par le 
« controleur » ; le microprocesseur ERC-3 2 de la 
societe MHS S.A. integre un tel mecanisme. 

2 5 - Methode de programmation multiple (« N- 

version programming ») , associee aux architectures a 
redondance modulaire d'ordre N, qui permet de detecter 
egalement des erreurs de conception lpgicielle. Chaque 
calculateur dispose d'une version de logiciel qui a ete 

3 0 developpee specif iquement a partir d'une specification 

commune . 

- Redondance temporelle : il s'agit soit 
d'avoir deux executions successives suivies d'une 
comparaison, soit d'avoir une seule execution suivie du 
3 5 chargement d'un regis tre de commande puis de la 
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relecture de celui-ci afin de realiser une comparaison 
et une validation, tel le mecanisme « armer puis 
tirer » utilise en spatial .pour les commandes tres 
critiques, par exemple le declenchement des elements 
5 pyrotechniques . 

Contrdle du temps d' execution : des 
« chiens de garde », compteurs de temps qui permettent 
de verifier 1 ' execution en une duree bornee d'un 
logiciel, sont utilises dans tous les calculateurs 

10 spatiaux. De plus, des contrdles plus fins du temps 
d' execution peuvent etre incorpores dans le logiciel : 
contrdle de la duree d'une tache , duree maximale 
autorisee pour obtenir la reponse d'un elements de 
communication, etc. Des logiciels permettent de 

15 positionner des contr61es sur la duree d' execution des 
taches . 

- Verification du f lot de contrdle, par 
exemple contrdle du sequencement d'un microprocesseur. 
Les chiens de garde permettent un contrdle grossier : 

20 detection d'un plantage dur . Un controle fin du flot 
d' instruction est possible avec un processeur de 
surveillance plus ou moins complexe. Le controle par 
analyse de signature est particulierement efficace et 
peu demandant en electronique . Ce concept a ete integre 

25 dans l'ERC-32 de la societe MHS S.A. mais, pour etre 
transparent a 1 ' utilisateur , il a fallu developper un 
compilateur specifique qui calcule les signatures de 
reference et les integre dans le code. 

- Controle de la validite de 1'adressage 
30 d'un microprocesseur a partir des droits d'acces par 

pages /segments . 

- Controle de vraisemblance : ce principe 
est utilise dans les Systemes de Controle d' Attitude et 
d'Orbite (ou SCAO) de satellites ou l'on compare soit 

3 5 les donnees de plusieurs types de capteurs pour 
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detecter des incoherences eventuelles, soit une donnee 
par rapport a une reference estimee grace a un filtre 
predictif sur les valeurs precedentes, soit une donnee 
par rapport a une plage d' appartenance predefinie. Les 
5 methodes dites « tolerance aux fautes basee sur le 
traitement algorithmigue » representent une sous-classe 
des controles de vraisemblance , la verification etant 
basee sur 1 ' execution d'un deuxieme algorithme, par 
exemple 1 ' algorithme inverse qui permet de retrouver 

10 les donnees initiales en partant des resultats obtenus 
si ceux-ci sont exempts d'erreurs. 

Controle structurel ou semantique des 
donnees, necessitant des structures de donnees 
relativement complexes. 

15 - Concepts complementaires de recouvrement 

d'erreurs, principalement des points de reprise pour 
les mecanismes decrits precedemment ne permettant pas. 
de corriger les fautes : sauvegarde reguliere de 
contextes et reprise a partir du dernier contexte 

20 sauvegarde. 

Une autre possibility du recouvrement 
d'erreurs reside en la reinsertion d'une ressource en 
faute par transfusion d'un contexte sain dans un 
calculateur fautif, afin de retrouver la capacite 
25 initiale de detection/correction. 

II existe egalement des documents de 1'art 
connu dans le domaine de la redondance temporelle. 

Le document reference [5] evoque la 
30 possibility d'executer une tache trois fois de suite et 
de « voter » le resultat. 

La possibility de realiser un 

f onctionnement de type redondance modulaire d'ordre N 
en logiciel, est egalement mentionnee de fagon 
3 5 theorique dans le document reference [6] . 
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Dans ce dernier document, une autre methode 
permet de discriminer les. fautes transitoires des 
fautes permanentes voire de..les corriger. La detection 
n'est pas une methode de redondance temporelle mais, 
5 par exemple, un codage des donnees . En cas de 
detection, le traitement .est execute une deuxieme 
fois ; si la deuxieme execution donne des resultats 
sans erreur, il s'agit d'une erreur transitoire et il 
est inutile de reconfigurer le systeme ; dans le cas 
10 inverse, une reconfiguration est necessaire car il 
s'agit d'une faute permanente . 

Dans ces deux documents, la redondance 
temporelle est mentionnee comme theoriquement possible, 
mais aucune information n'est fournie quand a la 
15 possibility reelle de sa realisation, aucun 
developpement concret n'est cite. Certains problemes 
restent entiers : en particulier, le vote peut-il etre 
realise par le microprocesseur lui-meme ou doit-il etre 
realise par un organe externe et independant du 
20 microprocesseur. En effet, le resultat du vote se doit 
d'etre robuste puisque c'est 1 ' element decisionnel, or 
le microprocesseur peut etre victime de 
dysfonctionnement : erreur de donnees, plantage du 
sequencement, etc.. La realisation du vote par le 
25 microprocesseur est done un. element majeur non aborde. 
Par ailleurs, la granularite sur laquelle se base la 
detection n'est pas definie. 

Le document reference [7] est un peu plus 
concret. II presente une evaluation comparative de deux 
30 methodes de detection d'erreurs. L'une d'entre elles 
est nominee « triple redondance modulaire logicielle ». 
La triple redondance modulaire est consideree comme 
habituellement realisee en materiel. La methode evaluee 
dans cette publication utilise la redondance temporelle 
3 5 par execution successive du logiciel, tous les modules, 
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notamment le module vote, etant realises en logiciel et 
executes sur le meme microprocesseur. C'est done une 
approche purement logicielle. La figure 1, qui 
correspond a la figure 1 de ce document, illustre la 
realisation de la detection : trois modules vote 1, 2 
et 3 comparant chacun les resultats de 1' execution de 
trois traitements 4, 5 et 6 sont suivis d'un etage de 
decision 7, qui compare le resultat issu de chacun des 
modules votes pour verifier la coherence des trois 
traitements. La triple redondance modulaire logicielle 
est programmee sur un microprocesseur MC68000. Environ 
1500 erreurs ont ete injectees pour valider ce 
logiciel. La memoire n'est pas protegee des erreurs par 
un circuit de detection et correction d' erreurs. Ce 
document conclut que seules les erreurs qui 
entraineraient un traitement a en perturber un autre, 
ne peuvent pas etre detectees . De plus, les erreurs 
affectant les communications entre programmes ne sont 
pas entierement tolerees. 

Ce document mentionne une realisation 
concrete d'une architecture ou les traitements sont 
executes trois fois de suite {redondance temporelle) , 
et ou le module vote est execute trois fois, les 
resultats des modules de vote etant ensuite eux-memes 
votes. II apparait que le vote n'est aucunement 
securise, c'est pour cela qu'il doit etre triplique. La 
prise finale de decision est alors confiee au dernier 
etage illustre sur la figure, qui est indirectement 
securise par le fait qu'il est forcement d'une taille 
tres faible (il suffit de quelques lignes de code pour 
voter trois donnees ) : statistiquement , les evenements 
singuliers affectant directement ce module sont 
negligeables, mais ceci ne le securise pas vis-a-vis 
des erreurs de sequencement du microprocesseur. 
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Le document reference [8] presente 
egalement une realisation - de «triple redondance 
modulaire logicielle» sur un microprocesseur de type 
iAPX 432, realisation proche de celle presentee dans le 
5 document reference [7] : chaque sous-tache logicielle 
est exe-cutee trois fois de suite, puis un module de 
vote logiciel est egalement execute trois fois, ce qui 
permet de conclure qu'il n'est pas securise, ces taches 
s' executant sur le meme microprocesseur de facon 
10 asynchrone. Une phase d' injection d'erreur a permis de 
mettre en evidence des propagations d'erreurs entre 
sous-taches, ce qui tend a montrer qu'il n'y a pas 
d' etancheif ication des sous-taches les unes par rapport 
aux autres . 

15 

Une estimation du taux d'evenements 
singuliers dans un calculateur spatial typique a ete 
realisee ; ce taux depend bien sur d' hypotheses comme 
du nombre de cellules memoire et de la valeur de la 

20 sensibilite d'une cellule unitaire prise en compte. Une 
simulation de la criticite des erreurs sur la gestion 
de 1' attitude d'un satellite a egalement ete faite en 
prenant en compte la generation d'une mauvaise commande 
sur un actuateur moyennement critique d'un systeme de 

25 controle d' attitude et d'orbite, par exemple une roue a 
reaction. II apparait que le taux d'evenements 
singuliers est faible, mais pas suffisamment pour 
negliger ce phenomene vis-a-vis de deux types de 
commande s : 

3 0 - commandes les plus critiques : 

pyrotechnie, propulseurs, gestion 

batterie, etc. On ne peut pas prendre le 
risque de perdre un satellite plusieurs 
fois par an ; 
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— commandes moyennement critiques : roues 
a reaction, magneto-coupleurs, etc. 
Certaines missions, en particulier 
commerciales (observation, telecommunica- 
tion) ne sont pas compatibles de 
perturbations d' attitudes potentiellement 
engendrees par ces erreurs, meme si 
celles-ci restent limitees. 
Par ailleurs, la frequence des evenements 

singuliers est tres largement superieure a la frequence 

du cycle temps reel du calculateur . 

L'objet de 1 ' invention est de proposer un 
procede de traitement d'un systeme electronique soumis 
a des contraintes d' erreurs transitoires permettant 
d'utiliser des composants commerciaux malgre leur 
sensibilite aux evenements singuliers, en permettant de 
detecter 1' apparition d' erreurs transitoires et de les 
corriger . 

EXPOSE DE L ' INVENTION 

La presente invention concerne un procede 
de traitement d'un systeme electronique soumis a 
contraintes d' erreurs transitoires, par exemple dans le 
domaine spatial, caracterise en ce que dans un cycle 
temps reel donne, on multiplexe dans le temps deux 
chaines virtuelles implantees sur une seule chaine 
physique ; les donnees resultantes de chaque execution 
d'une chaine virtuelle etant stockees afin d'etre 
votees avant utilisation, et en ce que, en cas de 
detection d'erreur, on inhibe le cycle temps reel en 
cours, et on recharge un contexte sain pour effectuer 
une reprise consistant en une execution nominale du 
cycle suivant a partir du contexte recharge. 
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Ainsi la correction d'erreurs est realisee 
par rechargement d'un contexte sain, c'est-a-dire celui 
calcule lors du cycle temps reel qui precede le cycle 
ou 1 ' erreur a ete detectee, puis par execution nominale 
5 (c'est-a-dire en refaisant de nouvelles acquisitions) 
du cycle qui suit celui ou 1 ' erreur a ete detectee a 
partir du contexte restaure ; ce type de correction est 
caracterise par 1' apparition d'un « trou » d'un cycle 
temps reel dans 1' execution du logiciel (celui ou 

10 1' erreur a ete detectee). 

Avantageusement on peut avoir egalement les 
caracteristiques suivantes . 

On peut utiliser trois niveaux de zones de 
confinement des erreurs : temporel, logiciel et 

15 materiel ; le confinement au niveau temporel des 
erreurs ne pouvant se propager d'un cycle temps reel a 
1' autre ; confinement au niveau logiciel des erreurs ne 
pouvant se propager d'une tache logicielle a 1 ' autre et 
egalement d'une chaine virtuelle a 1 ' autre ; 

20 confinement au niveau materiel des erreurs apparaissant 
dans 1 ' electronique d ' acquisition ou dans 1' unite 
centrale et ne pouvant se propager dans 1 ' electronique 
de commande (pas de generation de fausses commandes) . 

On peut utiliser un plan memoire de 1' unite 

25 centrale protege des evenements singuliers par code 
detecteur et correcteur d' erreur. 

La granularite de detection/correction 
retenue peut etre le cycle temps reel du calculateur, 
ce qui permet de reduire fortement les contraintes 

3 0 apportees par la fonction « sauvegarde de contexte » 
activee regulierement , ainsi que par la fonction 
.« restauration de contexte » activee lors d'une 
correction d'erreurs, par rapport aux solutions 
usuelles connues de 1 ' homme du metier en ce que le 

35 nombre de variables appar tenant au contexte est reduit 
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au strict minimum a la frontiere de deux cycles temps 
reel . 

La f one t ion « sauvegarde de contexte » 
activee regulierement peut etre realisee grace a un 
changement d' index, offrant 1 ' avantage que cette 
fonction a un impact quasi nul tant sur le cout de 
developpement du logiciel que sur le temps d' execution 
de cette fonction par le microprocesseur ; le seul 
impact residant dans la recopie par cette fonction des 
variables du contexre ayant une duree de vie superieure 
a la granularite de detection/correction, i.e. le cycle 
temps reel . 

La fonction « restauration de contexte » 
activee lors d'une correction d'erreurs peut etre 
realisee grace au fait que 1 ' index indiquant le 
contexte juge sain du cycle temps reel precedent ne 
doit pas etre change, alors qu'il est bascule en temps 
normal, e'est-a-dire lorsqu ' aucune erreur n'est 
detectee ; ce « non basculement » est inherent a 
1' inhibition du cycle temps reel dans lequel 1 1 erreur 
est detectee, offrant ainsi 1 ' avantage qu'il n'y a 
aucun impact de cette fonction tant sur le cout de 
developpement du logiciel que sur le temps d' execution 
de cette fonction par le microprocesseur, ce qui est 
inhabituel dans les solutions usuelles connues de 
l'homme du metier. 

On peut utiliser une segmentation de la 
memoire associee a un dispositif materiel de controle 
des droits d'acces, ce dispositif permettant de 
disposer de segments de tallies differentes et 
quelconques . Ce dispositif materiel de controle des 
droits d'acces permet plusieurs configurations d'acces, 
chaque configuration autorisant l'acces a un ou 
plusieurs segments non contigus . Ce dispositif materiel 
de controle des droits d'acces permet egalement la 
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selection des configurations d'acces selon des 
combinaisons logiques de une ou plusieurs cles . 

On peut utiliser ' une mise en table des 
variables /donnees qui doivent etre votees afin 
d'obtenir un module de vote a la fois simple et 
reutilisable d'une application a 1 ' autre ; dans ce cas, 
le module de vote impacte de facon tout a fait 
negligeable le cout de developpement du logiciel . 

On peut utiliser un vote logiciel dont 
l'integrite est assure par des controles logiciels, 
incluant en particulier un processeur de surveillance 
logiciel, et materiels ; le vote declenche egalement 
1'autorisation des transferts vers 1 ' elec tronique de 
commande si aucune erreur n'est detectee . 

On peut, enfin, utiliser un contr61e des 
transferts vers 1 ' electronique de commande par un 
dispositif materiel verifiant les droits d'acces et 
limitant dans le temps la validite de ce trans fert 
(fenetre de validation temporelle) , delimitant ainsi 
une zone de confinement des erreurs au niveau materiel. 

Dans le procede de 1' invention on a ainsi : 

- Duplication temporelle de 1' execution des taches, et 
vote des tables resultantes, 

- Detection de toutes les erreurs de donnees grace au 
vote des tables, 

- Detection des erreurs de sequencement grace aux 
dispositifs materiels et logiciels de securisation du 
vote et de controle des droits d'acces ; 

- Correction transparente a 1 ' application : tout se 
passe comme s'il y a avait un « trou » d'un cycle 
temps reel - 
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La minimisation des developpements 
specif iques est l'un des avantages du procede de 
1' invention, a savoir : 

- Pour le logiciel : 

• le regroupement des variables votees dans des 
tables , 

• le module de « Vote et generation des 
commandes », qui est par ailleurs 
reutilisable d'une application a 1' autre, 

• la gestion du procede de 1' invention (gestion 
de la duplication temporelle, des dispositifs 
materiels de surveillance des acces memoire 
et de fenetre de validation temporelle, de la 
correction des erreurs) . 

- Pour le materiel : 

• la surveillance des acces memoire et la 
fenetre de validation temporelle : ce sont 
des composants simples, qu'il faut integrer 
dans un circuit FPGA ou, mieux, dans le 
circuit ASIC associe usuellement au 
microprocesseur (decodage d'adresses, etc.), 
ils sont par ailleurs reutilisables d'une 
application a 1' autre, 

• la protection de 1 ' electronique des commandes 
critiques par des mecanismes usuels de 
tolerance aux fautes (e.g. instrumentation). 

Les avantages du procede de 1 ' invention 
sont done les suivants : 

- Tres peu de developpement materiels, 

- Tres peu de developpement logiciels, 

- Minimisation des couts recurrents (un seul 
calculateur) par rapport a d'autres 
architectures tolerantes aux fautes, 

de telles caracteris tiques etant inhabituelles dans le 
domaine de la tolerance aux fautes. 
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De plus 1 'utilisation de composants 
« commerciaux » dans le spatial presente les principaux 
avantages suivants : 

Resoudre le probleme de la reduction 
5 constatee de 1' off re en composants « haute fiabilite », 
suite aux retraits de ce marche de fournisseurs 
majeurs . 

- Reduction des couts, aspect stimule par 
le contexte budge taire. Or, le poste « composants haute 

10 fiabilite » est non negligeable dans le cout total du 
developpement d'un equipement, et devient preponderant 

dans son cout recurrent . 

- Utilisation de fonctions /composants plus 

performants, permettant de reduire le volume. 
15 d'electronique et/ou d'augmenter la f onctionnalite . 

- Reduction de la duree de developpement. 
des pro jets pour offrir un acces a 1 ' espace plus 
reactif, le delai d' approvisionnement des composants 
« haute fiabilite » etant couramment de un ou deux ans. 

20 Avantageusement, le procede de 1 ' invention 

a une vocation generique, et peut etre utilise dans 
tout type de calculateur soumis a des contraintes 
d'erreurs transitoires, . quelle que soit l'origine de 
ces erreurs {radiations cosmiques, impulsion 

25 electromagnetique, etc.), mais il s'applique tout 
naturellement au domaine spatial. 

La presente invention concerne egalement un 
dispositif de surveillance des acces memoire { SAM) dans 
un calculateur, comprenant notamment une unite centrale 

3 0 realisee autour d'un microprocesseur, et une memoire, 
caracterise en ce que la memoire est partitionnee en 
segments, et en ce que chaque segment a un droit 
d' acces defini par une fonction logique de tout ou 
partie des cles disponibles dans le dispositif, le 
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droit d'acces a chacun des segments etant controle en 
temps reel . 

Avantageusement, en fonction de la 
programmation des cles disponibles dans le dispositf, 
un ensemble de segments disjoints est accessible, en 
lecture seule pour certains segments, en 
lecture/ecriture pour d'autres segments. 

Avantageusemenmt, la taille des segments 
est quelconque,. afin d'etre optimisee pour une 
application donnee . 

Avantageusement , la definition du jeu de 
cles disponibles, les fonctions logiques de combinaison 
de ces cles et la configuration des segments 
accessibles en fonction de la programmation des cles, 
sont specif iques . 

On peut, de plus, definir les specif icites 
de ce dispositif liees a la propre definition des cles, 

par exemple : 

- l'un des segments dispose d'une 
autorisation d'ecriture accessible selon un etat 
except ionnel du calculateur, permettant ainsi un 
stockage sur de donnees critiques (par exemple le 
code) , 

- certains segments ont un- acces autorise 
seulement si le microprocesseur a une tres forte 
probability d'etre en bon etat de f onctionnement , 
permettant ainsi un stockage sur de donnees critiques 
(par exemple des donnees de contexte) , 

- les segments permettant un stockage sur 
de donnees critiques sont groupes par deux (segment 
"ancien" et segment "nouveau") et travaillent en 
basculement (en "flip-flop"). 
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BREVE DESCRIPTION PES DESSINS 

• la figure 1 illustre une realisation de triple 
redondance modulaire logicielle de 1 ' art connu, 

• la figure 2 illustre le synoptique de 
1 ' architecture materielle servant de reference dans 
la presente description, 

• la figure 3 illustre le diagramme temporel de 
1 ' architecture logicielle de reference, 

• la figure 4 illustre le sequencement de 
1 ' architecture de reference, 

• les figures 5A et 5B illustrent le sequencement 
global de f onctionnement : respectivement sans 
utiliser, et en utilisant le procede de 
1 ' invention, 

• la figure 6 illustre une description f onctionnelle 
du procede de 1 ' invention, 

• la figure 7 illustre le synoptique de 1' ensemble du 
procede de 1' invention, 

• la figure 8 illustre la zone de confinement des 
erreurs au niveau materiel, 

• la figure 9 illustre le sequencement du procede de 
1' invention et le basculement des tables de 
contexte, 

• la figure 10 illustre le vote des donnees, 

• les figures 11A et lib illustrent la structure du 
vote du procede de 1' invention : respectivement les 
differentes erreurs de sequencement de type 
« plantage doux » et la structure de la procedure 
de vote/generation des commandes . 
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EXPOSE DETAILLE DE MODES DE REALISATION PARTICULIERS 



Dans la suite de la description, on 
considere a titre d'exemple une application du procede 
de 1 ' invention dans le domaine spatial . 

Une application typique et generique d'un 
calculateur utilise en spatial est fournie ci-dessous, 
tant du point de vue materiel que logiciel. 
L' architecture de reference, illustree sur la figure 2, 
sert de base a la description du procede de 
1 ' invention . 

L'unite de gestion de bord 10, illustree 
sur cette figure 2, comprend : 

- une unite centrale 11 realisee autour d'un 
microprocesseur , 

- une memoire de masse 12 

- des interfaces puissance 13, charge utile 15, 
pyrotechnie 16, thermique 17, systeme de controle 
d' attitude et d'orbite 18, 

- relies par un bus de donnees 19, 

- un interface telecommande- telemesure 14 

- une electronique de surveillance et de 
reconfiguration 20, 

- des convertisseurs continu-continu 21 delivrant des 
alimentations commutees AC et permanentes AP. 

L ' interface puissance 13 est reliee a un 
generateur solaire 25 et a une batterie 26. 

L' interface telecommande- telemesure 14 est 
relie a un emetteur /recepteur , duplexeur 27 en liaison 
avec des antennes 2 8 et 29. 

La charge utile 31 est reliee a l'unite 
centrale 11 par un bus avionique 32, a la memoire de 
masse 12 ainsi qu'a 1' interface telecommande/ telemesure 
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14 par une liaison serie haut -debit 33, a 1 ' interface 
charge utile 15 . 

L' interface pyrotechnie 16 est relie a des 
.systemes deployables 35. 
5 L' interface thermique 17 est reliee a des 

rechauf f eurs, thermi stances 3 6... 

L' interface systeme de controle d' attitude 
et d'orbite 18 est relie a des capteurs CI, C2 , ... Cn, 
a des actuateurs Ai, A2 ... Am, et a un capteur de 
10 pression des reservoirs 37 . 

Une telle architecture est done constitute 
de differents modules de traitement (module unite 
centrale) ou d' entree/sorties (modules d ' acquisition, 
modules de commande) . Les modules d' entree/sortie 
15 integrent 1 ' electronique de bas niveau ( convertisseur 
analogique/numerique ou numer ique / analogique , 

multiplexeurs de voies numer iques ou analogiques , 

relais , etc . ) . 

Les modules peuvent indif f eremment etre des 
20 cartes reliees par un bus f ond-de-panier , ou des 
boitiers complets relies par un bus avionique . Dans les 
deux cas, 1 ' interface au bus est realise par un 
Coupleur de Bus (CB) maitre sur le module Unite 
Centrale, et par des coupleurs de bus abonnes sur les 

2 5 autres modules. 

L ' architecture logicielle de reference, 
comme illustree sur la figure 3, est constitute de 
taches de traitement (par exemple : tache du systeme de 
controle d' attitude et d'orbite, tache controle 
30 thermique, tache horloge temps reel, tache gestion 
bord, etc.), chaque tache generant des resultats qui 
doivent sortir du calculateur (commandes ou cdes) , ces 
resultats etant generes (i.e. sortis du calculateur) au 
fur et a mesure de leur calcul . Les acquisitions (ou 

3 5 Acq) sont groupees en debut de cycle temps reel pour 
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raison de coherence temporelle (systeme de controle 
d'attitude et d'orbite par exemple) . 

Sur la figure 3 les taches A, B et C sont 
representees a la meme frequence pour des raisons de 
5 clarte de la description. 

L'activite de ces taches est rythmee par un 
cycle temps reel declenche par une interruption Temps 
Reel IT-TR cyclique. Ce cycle permet de demarrer de 
facon cyclique certaines taches, qui travaillent soit a 

10 la frequence du cycle temps reel, soit a une sous- 
frequence. D'autres taches sont asynchrones, 
initialisees sur evenements . 

Une representation faisant a la fois 
apparaitre 1 ' architecture de reference materielle et 

15 logicielle est fournie a la figure 4. Sur cette figure 
sont representees 1' unite centrale 40, 1 ' electronique 
d' acquisition 41 reliee a des capteurs 42, et 
1 ' electronique de commande 43 reliee a des actuateurs 
44, ces deux electroniques 41 et 43, ainsi que 1' unite 

20 centrale etant reliees a un bus de donnees 45. 

Le sequencement des trois phases 
principales Phi, Ph2 et Ph3 , que sont 1 ' acquisition de 
donnees, leur traitement, et la generation de 
commandes, met tent en jeu les trois parties distinctes 

25 de 1' electronique 40, 41, 43, les phases Ph2 et Ph3 
etant imbriquees . 

La partie materielle de cette architecture 
ne se base que sur des blocs fonctionnels et ne tient 
done pas compte de la specificite de composants 

3 0 particuliers et de leur capacites eventuelles dans le 
domaine de la detection/correction d'erreur, Le procede 
de 1' invention est done autosuf f isant . Cependant, 
1 'utilisation d'eventuels mecanismes de tolerance aux 
fautes integres aux composants retenus pour une 

3 5 application donnee ne peut qu'ameliorer le taux de 
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couverture d'erreurs par rapport au procede de 
1' invention seul . 

Une determination des signatures d'erreurs 
potentielles de 1 ' architecture de reference soumise a 
5 des evenements singuliers a ete realisee. Elle a permis 
de regrouper les erreurs en deux classes essentielles : 

- les erreurs de donnees, 

- les erreurs de sequencement, qui peuvent etre 
egalement partagees en deux sous-classes : 

10 • « plantage doux » : branchement errone, mais 

le microprocesseur retombe en phase avec les 
instructions, et poursuit un sequencement des 
instructions plus ou moins erratique ; 
• « plantage dur » : le microprocesseur n.'est 
15 plus operationnel ; par exemple le 

microprocesseur ne reste pas en phase avec 
les instructions, le microprocesseur charge 
le registre d' instructions avec des donnees, 
le pointeur de pile est perturbe, blocage du 
20 sequencement des instructions, attente d'un 

evenement impossible, boucle infinie, etc. 

Ces deux classes se subdivisent elles-memes 
en differentes sous -classes , dont la plus importante 
concerne les erreurs d'adresses. 
25 La distinction entre plantage « doux » et 

« dur » est importante : autant un dispositif materiel 
externe au microprocesseur est generalement necessaire 
a la detection des plantages « durs » (e.g. un chien de 
garde) , autant un mecanisme logiciel peut etre 
3 0 suffisant pour detecter un plantage « doux » puisque, 
dans ce dernier cas , le microprocesseur continue a 
executer du code, meme si c'est de facon erratique. 

Par ailleurs, les plantages du 

microprocesseur constituent une classe d'erreurs 
35 critiques, car un « microprocesseur fou » est capable 
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d' actions pouvant avoir des consequences 

catastrophigues pour une mission spatiale ; il est done 
important de s'attacher a les detecter, et ceci avec un 
temps de latence court, et/ou de realiser des zones de 
confinement d'erreurs afin de minimiser la probabilite 
de mauvaises commandes suite a une erreur non detectee. 

On va a present decrire le fonctionnement 
du procede de 1 ' invention proprement dit. 

De facon globale, la granularite utilisee 
pour la detection/correction est le cycle temps reel de 
base du calculateur, par exemple le cycle de la tache 
du systeme de controle d' attitude et d'orbite d'un 
calculateur de plate-forme. 

En effet, dans le procede de 1 ' invention 
comme dans un duplex structurel, 1' object if est de 
laisser le calculateur travailler sans surveillance, et 
de choisir ou « voter » uniquement les donnees qui 
doivent sortir du calculateur (les commandes) ou qui 
servent a la correction (le contexte) . 

Le choix du cycle temps reel pour la 
granularite presente de nombreux avantages : 

- e'est a cette frequence que 1 ' on accede en 
acquisition ou en commande a une majorite de 
capteurs/actuateurs ; 

- e'est en fin de cycle temps reel que 1 ' on dispose 
de donnees « actives » en nombre relativement 
restreint : il n'y a pas de multiples donnees 
intermediaires, ni de variables locales en cours 
d' utilisation : 

• pour la detection, on les stocke en un jeu de 
tables qui sont votees, 

• pour la correction, on dispose d'un contexte 
de reprise simple et bien localise. 
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De facon plus precise, la granularite de.la 
detection/correction pour une tache donnee est la 
frequence de cette meme tache, puisgue le vote se fait 
en fin de tache. Par consequent, si l'on considere une 
5 tache du systeme de controle d' attitude et d'orbite a 
10 Hz et une tache thermique a 1 Hz, la granularite est 
de 10 Hz pour le systeme de controle d' attitude et 
d'orbite et de 1 Hz pour la thermique- Pour raison de 
clarte, on conserve dans la suite du document la notion 
10 de « granularite par cycle temps reel » plutot que 
« par tache » . 

Pour benef icier de l'efficacite du duplex, 
(deux chaines identiques en parallele, executant le 
meme logiciel, avec comparaison des sorties) , qui 
15 permet de detecter toutes les erreurs sans exception 
quel que soit leur type (erreur de donnees , d'adresses, 
de sequencement , de configuration, etc.), tout en 
supprimant la redondance structurelle , le procede de 
1' invention consiste a implanter un f onctionnement 
20 duplex sur une seule chaine physique. Dans un cycle 
temps reel donne, on multiplexe dans le temps deux 
chaines virtuelles implantees sur une seule chaine 
physique : les donnees resultantes de chaque execution 
d'une chaine virtuelle sont stockees dans des « tables 
2 5 du duplex multiplexe dans le temps » (e.g. commandes , 
contexte) afin d'etre votees avant utilisation. 

La correction consiste, suite a une 
detection, a inhiber le cycle temps reel en cours , et a 
recharger un contexte sain pour effectuer une reprise 
30 qui consiste en une execution nominale du cycle suivant 
a partir du contexte recharge : tout se passe comme 
. s'il y avait un « trou » d'un cycle temps reel. 

Le procede de 1 ' invention est base sur le 
fait qu'une erreur generee par un evenement singulier 
35 est transitoire : une telle erreur apparaissant pendant 
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1' execution de la premiere chaine virtuelle n'est pas 
reproduite lors de 1' execution de la deuxieme chaine 
(ou reciproquement) . Par contre, les erreurs statiques 
dans le temps ne peuvent etre detectees par le procede 
5 de 1' invention : par exemple les pannes de composants 
(collage d'un bit, etc.), voire meme certaines erreurs 
dues a des evenements singuliers et qui provoqueraient 
une erreur permanente (e.g. blocage d'un sequenceur) . 

Les actions en aval du module vote, c'est- 

10 a-dire le transfert de donnees vers 1 ' electronique de 
conunande (i.e. le bus de donnees), ainsi que 
1 ' electronique de commande elle-meme, ne sont pas 
protegees par le procede de 1' invention. L ' utilisateur 
realise une analyse systeme afin de determiner les 

15 commandes critiques qui necessitent d'etre exemptes 
d' erreurs, et de les proteger par des mecanismes bien 
connus de l'homme de metier : codage des donnees, 
circuit d'auto-controle, instrumentation de 

1 ' electronique de commandes, etc. 

20 La figure 6 donne une description 

f onctionnelle du procede de 1' invention. 

Sur cette figure on retrouve les flux de 
donnees (traits gras) grace auxquels la chaine 
virtuelle #1 47 recoit les acquisitions #1, la chaine 

25 virtuelle #2 48 recoit les acquisitions #2, le voteur 
securise 49 recoit les sorties de ces deux chaines 47 
et 48, et emet les commandes. On retrouve egalement le 
signal d' erreurs (trait fin) qui relie le module vote 
securise 49 aux deux chaines virtuelles 47 et 48, pour 

30 realiser une demande de rechargement de contexte afin 
d(initialiser une correction par reprise. 

Le sequencement global du procede de 
1' invention est illustre sur les figures 5A et 5B : 
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- figure 5A : sequencement sans le procede de 
1' invention, les commandes- etant neanmoins groupees 
en fin de traitement, 

- figure 5B : sequencement avec le procede de 
5 1' invention. 

La figure 5A illustre deux cycles temps 
reels N et N+l, et le debut du cycle N+2 . 

Chaque cycle temps reel est constitue de 
quatre phases distinctes dans le temps : 
10 - acquisition des donnees, 

- traitement avec calcul des commandes, 

- transmission des commande, 

- tache de fond {« Scrub ») et veille (« Standby ») 
appelee ici « Serub+ Standby ». 

15 La figure 5B illustre le procede de 

1' invention, dans lequel chaque cycle temps reel est 
constitue de : 

- acquisition chaine virtuelle numero 1 (ChV#l) , 

- traitement chaine virtuelle numero 1 ; les 
20 resultats etant stockes dans une table TAB#1, 

- acquisition chaine virtuelle numero 2 (ChV#2), 

- traitement chaine virtuelle numero 2 ; les 
resultats etant stockes dans une table TAB#2 , 

- vote des tables TAB#1 et TAB #2 , 

2 5 - generation des commandes 

- tache de fond et veille. 

La figure 7 illustre un synoptique de 
1' ensemble du procede de 1' invention, en presentant 
1' ensemble des circuits permettant une mise en oeuvre 
30 de celui-ci . 

Un premier module microprocesseur 50 
permettant de gerer 1 ' ensemble des mecanismes 
logiciels, en particulier : 

- la duplication temporelle des taches , 

3 5 - la mise en. table des variables, 
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- le vote securise, 

- la correction par reprise, 

- la gestion des mecanismes materiels. 

Un module 51 de surveillance d'acces 
5 memoire et de fenetre de validation temporelle est 
relie au bus 52 du microprocesseur 50, une memoire a 
detection et correction d'erreur 53 et un coupleur de 
bus 54 . 

Le module 51 genere un signal d'erreur sur 
0 la borne « Reset » du microprocesseur 50, un signal de 
selection {« chip-select », CS) sur la memoire 53, et 
un signal de selection sur le coupleur de bus 54. 

La memoire 53 est partagee en segments, 
chaque segment disposant d'un droit d'acces specif ique 
5 (validation par cles) . Le coupleur de bus 54, qui est 
relie a un bus de donnees 55 dormant acces aux autres 
fonctions du calculateur ( electronique d' acquis! tion, 
de commande, etc. .) est valide par un signal de type 
« fenetre temporelle ». 

0 

Le procede de 1' invention s'articule ainsi 
autour des caracteris tiques suivantes : 

- de trois niveaux de zones de confinement des 
erreurs : temporel, logiciel et materiel ; 

5 - d'une mise en table des variables /donnees ; 

- d'une duplication temporelle des traitements ,- 

- d'un module vote logiciel securise unique permettant 
une detection d'erreur par comparaison des resultats 
de chacun des traitements, le module vote realisant 

0 egalement la generation des commandes ; 

- d'un processeur de surveillance logiciel qui 
participe au controle de l'integrite du vote ; 

- d'un plan memoire de 1' unite centrale protege des 
evenements singuliers par code detecteur et 

5 correcteur d'erreur ; 
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- d'une segmentation de la memoire associee a un 
dispositif materiel de controle des droits d'acces 
qui, avec 1' element precedent, permet de sauvegarder 
de facon sure le contexte de reprise et de detecter 
des erreurs d'adressage ; 

- d'un controle des transferts vers l'electronique de 
commande, via le bus de donnees, par un dispositif 
materiel controlant le droit d'acces, delimitant 
ainsi une zone de confinement des erreurs ,- 

- d'une correction par reprise en cas d'erreur. 
On va, a present analyser successivement 

chacune de ces caracteristiques . 

Zones de confinement 

15 La zone majeure de confinement des erreurs 

60 est constitute de l'electronique d' acquisition 41 et 
de 1' unite centrale 40 , comme illustre sur la figure 
8 : sur cette figure on utilise les memes references 
que celles de la figure 4. Ainsi, si une erreur 

20 perturbe les acquisitions ou le traitement, cette 
erreur ne peut pas etre generee vers l'electronique de 
commande 43 . Les erreurs survenant suite a un evenement 
singulier dans l'electronique d' acquisition 41 ou dans 
1' unite centrale 4 0 ne peuvent done pas engendrer de 

25 mauvaises commandes du satellite ; elles ne perturbent 
pas la mission . 

Cette zone de confinement 60 est, grace au 
vote, effective pour les erreurs que le module vote est 
capable de detecter. Pour les autres erreurs, cette 

30 zone de confinement est egalement quasi etanche grace a 
la presence d'un controle de droit d'acces : le 
dispositif materiel de fenetre de validation temporelle 
bloque toute generation de commande sur le bus non 
autorisee . 



5 



10 
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Par ailleurs, d'autres zones de confinement 
sont definies dans le procede de 1 ' invention : 

- confinement temporel des erreurs au niveau d'un 
cycle temps reel puisque la correction est basee 
sur une granularite d'un cycle temps reel ; 

- confinement des erreurs au niveau des taches 
logicielles grace au dispositif de surveillance des 
acces memoire et au niveau des chaines virtuelles 
egalement grace a la surveillance des acces 
memoire. 

Tables du procede 

Le f onctionnement du procede de 1' invention 
s'appuie sur un jeu de tables ou sont en particulier 
stockees les donnees a voter (ces tables sont done 
dupliquees, un jeu etant gere par ChV#l, 1' autre par 
ChV#2). On appelle ces tables « tables du duplex 
multiplexe dans le temps » car elles sont specifiques 
au f onctionnement duplex, par opposition aux tables 
usuelles du logiciel . On peut citer par exemple : 

- table d'acquisition (TAB -Acq) , 

- table de commande (TAB-Cde) , 

- table de contexte (TAB-Ctxt) . 

Pour permettre une restauration du contexte 
lors d'une correction par reprise, chacune des tables 
de contexte TAB-Ctxt#l et TAB-Ctxt#2 est en fait 
constitute d'un jeu de deux tables qui travaillent en 
basculement un cycle sur deux en fin de tache (i.e. en 
fin de vote) . Un jeu de deux index « Old » (ancien) et 
« New » (nouveau) , memorises en memoire, leur est 
associe . 

Ainsi , lors du cycle numero N de la tache 
K, pour la chaine virtuelle 1, la premiere table est 
par exemple consideree corome « New » et notee TAB-Ctxt- 
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New#l # la deuxieme table est « Old » et notee TAB-Ctxt- 
Old#l. Si aucune erreur n'est detectee par le vote de 
la tache K, le basculement en fin de vote intervertit 
les roles : la premiere table devient alors TAB-Ctxt- 
5 01d#l, et la deuxieme TAB-Ctxt-New#l . 

Les zones « Old » sont interdites en 
ecriture grace au dispositif de surveillance des acces 
memoire afin de proteger, par exemple, d'un plantage du 
microprocesseur, le contexte de reprise une fois vote 
10 et juge sain. 

Sequencemen £ - duplication t emporell e 

Par rapport a 1 ' architecture logicielle de 
reference definie ci-dessus, le procede de 1' invention 

15 impose de ne pas generer les commandes au fur et a 
mesure de leur calcul coitime indique a la figure 3, mais 
de les stocker dans une table en attente du vote {voir 
figure 5B) . Lorsque- le traitement est termine pour les 
deux chaines virtuelles, les tables sont votees et ce 

20 n'est que si aucune incoherence n'est detectee entre 
elles que le module de vote genere les commandes : i.e. 
1'une des deux tables de commande est envoyee par 
1' unite centrale 40 vers 1 ' electronique de commande 43 
par 1 ' intermediaire du bus 45. 

25 Le sequencement global du procede de 

1' invention, pour une tache donnee, incluant 1' aspect 
duplication temporelle, est decrit ci-apres au vu de la 
figure 9. 

Cette figure illustre le sequencement du 
30 duplex multiplexe dans le temps, selon 1' invention, et 
le basculement des tables de contexte. 

Les cycles temps reel sont initialises par 
des interruptions temps reel IT-TR . 
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Chaque cycle temps reel est constitue des 
phases suivantes : 

- sequenceur /executif temps reel (ETR) , 

- tache A, 

- sequenceur /executif temps reel, 

- tache B, 

- sequenceur /executif temps reel, 

- tache C, 

- sequenceur /executif temps reel, 

- tache de fond et veille. 

La tache A consiste, de meme que les taches 
B et C, comme illustre sur la figure 5B, en : 

- acquisition chaine virtuelle numero 1, 

- traitement chaine virtuelle numero 1, 

- acquisition chaine virtuelle numero 2, 

- traitement chaine virtuelle numero 2, 

- vote et generation des commandes . 

On a les etapes suivantes : 

• Pendant le Module « traitement » de la chaine 
virtuelle numero 1 (ChV#l) : 

- acquisition des donnees pour ChV#l et stockage dans 
TAB-Acq#l ; 

- execution des traitement associes a ChV#l a partir 
de TAB-Acq#l et TAB-Ctxt-01d#l ; les resultats de 
ces traitements sont stockes dans les tables TAB- 
Cde#l et TAB-Ctxt-New#l ; aucune commande n'est 
generee par 1' unite centrale vers les actuateurs . 

• Pendant le Module « Traitement » de la chaine 
virtuelle numero 2 (ChV#2) : 

- acquisition des donnees pour ChV#2 et stockage dans 
TAB-Acq#2 ; 

- execution des traitements associes a ChV#2 a partir 
de TAB -Ac q# 2 et TAB-Ctxt-01d#2 ; les resultats sont 
stockes dans TAB-Cde#2 et TAB-Ctxt-New#2 ; aucune 
sortie n'est effectuee par le calculateur . 
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• Pendant le Module « Vote et generation des 
commandes », c'est-a-dire comparaison des tables et 
execution des actions concernant les tables : 

- comparaison mot a mot de TAB-Cde#l et TAB-Cde#2 ; 

- comparaison mot a mot de TAB-Ctxt-New#l • et TAB- 
Ctxt-New#2 ; 

- si aucune erreur n'est detectee, poursuite du 
processus ; sinon, mise en « standby », c'est-a- 
dire en veille ; 

- commutation des tables de contexte par changement 
d' index : TAB - C t x t -New remplace TAB-Ctxt-Old et 
sert de contexte pour le prochain cycle temps 
reel ; 

- realisation des commandes : l'une des deux TAB-Cde 
est videe sequentiellement pour transferer les 
demandes de commandes vers 1 ' electronique - de 
commande via le bus de donnees ; 

- initialisation des parametres du duplex multiplexe 
dans le temps (tables du duplex multiplexe dans, le 
temps, variables de gestion du duplex multiplexe 
dans le temps) . 

Ainsi, a la figure 9, lors du cycle temps 
reel N+l, le contexte d' entree de la tache A est TAB- 
Ctxt-Old (N) si aucune erreur n'a ete detectee lors du 
cycle temps reel N, cette table contenant en fait les 
donnees de TAB-Ctxt-New (N) grace a la commutation ; 
sinon, le contexte d' entree de la tache A est TAB-Ctxt- 
Old(N-l), cette table etant identique a la table TAB- 
Ctxt-Old (N-l ) du cycle temps reel N puisque la 
commutation des contextes n'a pas lieu en cas d' erreur. 

Durant les modules de traitement, un code 
-de controle (checksum) est calcule pour chacune des 
tables qui sont soumises au vote ; il participe a la 
verification de 1 ' exhaust ivite (de l'integrite) du 
vote . 
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Vote logiciel securxse 

Les donnees qu'il est necessaire au minimum 
de voter sont les differentes sorties du module de 
5 traitement, comme illustre sur la figure 10, a savoir : 

- les donnees 65 sortant du calculateur (les 
commandes) pour ne pas generer d' actuations 
erronees, 

- les donnees 66 servant a la reprise (le contexte : 
10 si le cycle N est en faute, les donnees saines N-l 

seront restituees pour la reprise) , le contexte de 
reprise se devant d'etre sain. 

Ainsi, toutes les donnees sortant du module 
de traitement sont votees . Le vote associe a une tache 
15 donnee est realise en fin de cette tache, ceci etant 
defini par la granularite de la detection/correction. 

En ce qui concerne le module vote, le 
procede de 1 ' invention permet d'obtenir les 
caracteristiques suivantes : 
20 - Pas besoin d'utiliser un composant 

externe tolerant aux evenements singuliers si 1 ' on sait 
definir des dispositifs de securisation du vote ; 
1 ' architecture en est ainsi simplifiee : le vote peut 
etre realise par le microprocesseur lui-meme, 

2 5 entierement en logiciel, avec un support des quelques 

dispositifs materiels necessaires par ailleurs dans le 
procede de 1' invention. 

- Le vote logiciel n'est pas duplique. 

Le procede de 1' invention est base sur 

3 0 1 ' utilisation au mieux des capacites de detection d'une 

architecture duplex, c'est-a-dire pouvant detecter tous 
les types d'erreur, y compris les erreurs de 
sequencement qui sont a la fois les plus difficiles a 
detecter et qui ont potentiellement les consequences 
3 5 les plus graves- Ces erreurs ont un impact sur la 
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coherence des tables du duplex multiplexe dans le 
temps ; elles sont done detectees par un vote logiciel 
a condition gu'il soit securise, e'est-a-dire qu'il ne 
puisse etre declenche par un microprocesseur 
fonctionnant incorrectement . II faut done s' assurer de 
l'integrite du vote par des mecanismes adequats . 

La securisation du vote est basee s'ur deux 
elements centraux : 

- verification en debut de vote de 1 ' etat sain du 
microprocesseur et du module unite centrale, 

- verification en cours de vote de la completude du 
vote, afin d'autoriser la generation des commandes . 

La structure du vote est definie en 
fonction de 1' analyse des possibilites de mauvais 
branchement d'un microprocesseur vie time d'un plantage 
« doux », la figure 11A illustre les differentes 
erreurs de sequencement possible de type « plantage 
doux » . 

Les « plantages durs » sont traites par un 
chien de garde, methode usuelle pour l'homme de 1 ' art . 

La structure du module de « Vote logiciel 
et generation des commandes » associe a la tache K est 
illustree sur la figure 11B est la suivante : 

a) verification de 1 ' etat du microprocesseur se 
branchant au debut du vote et du module unite 
centrale : verifier que le pointeur de pile est 
dans la zone autorisee, verifier les registres de 
configuration du microprocesseur et de la carte 
unite centrale ; 

b) inhibition des caches si possible pour minimiser la 
probability d'erreur durant le vote ; 

c) verification d'une variable Cle-Vote a 0, puis mise 
a 1 (i.e. vote) ; cette variable est une cle 
permettant de controler globalement le bon 
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sequencement du microprocesseur grace a un procede 
de Surveillance Logiciel ; 

d) activation de la cle du dispositif surveillance 
d'acces memoire indiquant un vote en cours et 

5 autorisant 1'acces simultane aux deux zones memoire 

ChV#l et ChV#2 ; 

e) vote de toutes les tables resultantes du duplex 
multiplexe dans le temps et calcul d'un code 
redondant cyclicjue calcule lors des votes CRC-V, au 

10 fur et a mesure du vote, pour chague table : TAB- 

Cde, TAB-C txt-New ; 

f) verification de Cle-Vote a 1, puis mise a 2 (i.e. 
generation des commandes) ; 

g) comparaison des CRC-V aux codes redondants 
15 cycliques calcules lors des traitements CRC-T ; 

h) inhibition de la cle du dispositif de surveillance 
d'acces memoire indiqoiant un vote en cours ; 

i) si le resultat des tests e, f et g est correct, 
alors ouverture d'une fenetre de validation 

20 temporelle du coupleur de bus grace au dispositif 

de fenetre de validation temporelle ; 
j ) reinitialisation des registres de configuration des 

cartes de commandes ; 
k) generation des commandes vers le coupleur de bus ; 
25 1) verification des registres de configuration des 

cartes de commandes, et action en fonction du type 
d'erreur eventuellement detecte (en general : re- 
emission de la commande) ; 
la fenetre temporelle s'est terminee, ou va se 
3 0 terminer ; 

m) verification de Cle-Vote a 2, puis mise a 3 (i.e. 

commutation et initialisation) ; 
n)basculement des tables de contextes de la tache K 
en intervertissant son jeu d' index « Old » et 
3 5 « New » stocke en memoire ; 
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o) initialisation de toutes les tables de la tache K, 
hormis les tables « 01d.», avec des valeurs en 
complement a 1 entre ChV#l' et ChV#2 ; 
p) transfert des tables « Old » vers les tables 
« New », et vote pour verifier ce transfert ; ce 
transfert est necessaire pour assurer la perennite 
des variables qui ne sont pas mises a jour 
systematiquement a chaque execution de tache ; 
q) verification de Cle-Vote a 3, puis mise a 0 (i.e. 

inhibe ) ; 
r) validation des caches. 

La procedure « vote/generation des 
commandes /commutation/ initialisation des tables du 
duplex multiplexes dans le temps » est non secable, i.e. 
elle ne doit pas etre preemptee (une fois initialisee, 
elle doit se terminer) . Une interruption peut, par 
contre, interrompre moment an ement ce module. 



Processeur de surveillance lo&iciel 

Un procede de Surveillance Logiciel, connu 
de l'homme de metier, permet de confier au logiciel 
lui-meme le controle du bon sequencement des 
instructions du microprocesseur . Le logiciel est 
decoupe en segments elementaires lineaires, c'est-a- 
dire compris entre deux branchements . Les segments 
lineaires ne comportant pas eux-memes d ' instructions de 
branchement, une fois que le microprocesseur a execute 
la premiere instruction de ce segment, celui-ci doit 
forcement arriver jusqu'a 1' execution de la derniere 
instruction de ce meme segment. 

On verifie que le microprocesseur est bien 
rentre dans un segment lineaire exactement a son point 
d' entree, et non ailleurs, grace au prelevement d'une 
cle au point d' entree et son controle au point de 
sortie . 
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La securisation du vote utilise entre autre 
ce procede de Surveillance Logiciel ; la variable 
logicielle « Cle-Vote » etant une cle associee a ce 
procede. Ce module vote est partitionne en trois 
segments fonctionnels (vote, generation des commandes , 
commutation et initialisation) , le reste du logiciel 
applicatif representant en quelgue sorte un quatrieme 
segment : 

- en debut de chaque segment, on controle la valeur 
de la cle du procede de Surveillance Logiciel pour 
s' assurer que le microprocesseur est bien sorti du 
segment precedent exactement a son point de sortie 
et non ailleurs, on verifie ainsi que les segments 
s ' enchainent bien les uns a la suite des autres ; 

- puis, juste apres ce controle de debut de segment/ 
on positionne la cle du procede de Surveillance 
Logiciel a une valeur correspondant au segment 
courant ; 

- en fin de chaque segment, on contrdle que le 
microprocesseur est bien rentre dans le segment 
courant exactement a son point d' entree et non 
ailleurs . 



Protection du plan memoire 

Les plans memoires sont classiquement 
proteges contre les evenements singuliers par code 
correcteur (EDAC) et tache de relecture en tache de 
fond de tout le plan memoire pour detecter et corriger 
les erreurs dormantes. Ceci est necessaire car de 
multiples erreurs sur le meme mot ne pourraient plus 
etre detectees et/ou corrigees . 

Le procede de 1 ' invention s ' appuie : 

sur une memoire fiable vis-a-vis des 
evenements singuliers grace a 1 ' utilisation d'un code 
correcteur (EDAC) ; 
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sur une memoire fiable vis-a-vis des 
ecritures incorrectes suite ■ a une erreur d'adresse, 
d' instruction, un plantage du microprocesseur, etc., 
grace a 1 ' utilisation d'une surveillance des droits 
5 d'acces. 

Dispositif de surveillance des acces memoire 

Le dispositif de Surveillance des Acces 
Memoire ou SAM est un dispositif materiel derive des 

10 classiques unites de protection memoire par blocs. II 
permet de verifier que le microprocesseur cherchant a 
acceder a une zone memoire delimitee, en possede bien 
le droit d'acces. 

Le dispositif de surveillance d'acces 

15 memoire permet de detecter une grande partie des 
erreurs d'adresses. 11 permet, en particulier/ de 
detecter tres rapidement de nombreux cas de plantage du 
microprocesseur. En effet, suite a un plantage 
« doux », un microprocesseur peut frequemment sortir de 

20 la zone d'adresses autorisee. 

Le dispositif de surveillance d'acces 
memoire dispose de certaines specificites par rapport a 
une unite de protection memoire par bloc classique : 

- la taille des segments est quelconque, et definie 
25 en fonction de 1 ' application ; 

- 1' autorisation d'acces se fait en programmant des 
cles memorisees dans des registres internes au 
dispositif de surveillance d'acces memoire, la 
definition et la combinaison de ces cles entre 

30 elles etant specif iques au procede de 1' invention. 

La liste des cles integrees dans le 
dispositif de surveillance d'acces memoire est la 
suivante : 

- Cle d' interdiction d'acces en ecriture a la zone 
3 5 memorisant le code, car une erreur de code serai t 
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une erreur de mode commun aux deux chaines 
virtuelles et ne pourrait pas etre detectee par le 
vote. Cette cle permet d'autoriser 1'ecriture de la 
memoire uniquement lors de 1 ' initialisation du 
calculateur, lorsgue le code en memoire morte est 
trans fere en memoire vive . 

- Cle indiquant quelle est la chaine virtuelle 
courante, ChV#l ou ChV#2, et interdisant au 
microprocesseur d'acceder a la zone memoire 
contenant les tables de ChV#2 lorsque c'est ChV#l 
qui est en train de s'executer (et reciproquement ) . 
Cette cle permet une etancheif ication aux erreurs 
d'une chaine virtuelle par rapport a 1 ' autre . 

- Cle indiquant un vote en cours d' execution : 
lorsqu'elle est active, elle autorise 
except ionnellement au microprocesseur d'acceder 
simultanement aux deux zones ChV#l et ChV#2 pour 
pouvoir realiser le vote. 

- Cle indiquant quelle est la tache courante, et 
autorisant le microprocesseur a n'acceder qu'a la 
zone memoire contenant les tables de la tache du 
logiciel en cours d' execution. Cette cle permet une 
etancheif ication aux erreurs d'une tache par 
rapport aux autres . 

- Cle indiquant quelle est, parmi les jeux de deux 
tables « Old »/ « New » travail lant en basculement, 
les zones « Old » et les zones « New », les zones 
« Old » etant interdites en ecriture. 

Dispositif de fenetre de validation temporelle 

Le dispositif de Fenetre de Validation 
Temporelle ou FVT est un dispositif materiel original. 
II est realise a l'aide d'un compteur de temps 
classique. II permet de confiner les erreurs au niveau 
materiel. 11 est concu pour : 
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- interdire a un microprocesseur plante qui irait 
executer du code de gestion de 1 ' electronique de 
commandes, de generer une commande sans avoir 
acquitte correctement un droit d'acces ,- 

- interdire a un microprocesseur qui executerait une 
instruction erronee de type « ecriture a une 
adresse correspondant a une commande » de generer 
une commande par inadvertance . 

Le dispositif de fenetre de validation 
temporelle protege done le systeme de commandes 
intempestives , avec les consequences potentiellement 
catastrophiques que celles-ci pourraient avoir pour 
1 'application. II est arme prealablement pour autoriser 
1'acces a 1 ' electronique de commande : on ouvre une 
fenetre de validation d'acces temporelle. 

Dans les cas d'erreurs mentionnes ci- 
dessus , le microprocesseur n ' accede pas a 
1 ' electronioue de commande en executant la procedure 
d' interface de fagon exhaustive ; par consequent, 
1'acces non autorise est immediatement detecte par ce 
dispositif puisque le microprocesseur n'a pas ouvert 
prealablement la fenetre de validation temporelle. 

Le dispositif de fenetre de validation 
temporelle est arme apres avoir pris la decision 
qu'aucune erreur n'etait presente. Cette decision est 
basee d'une part sur la verification de l'etat sain du 
microprocesseur et de 1' unite centrale (en debut de 
vote, puis avec la variable « Cle-Vote » et le controle 
de « checksum » en cours de vote), et d' autre part sur 
le resultat du vote . 

Correction 

La correction s ' execute suivant le 
sequencement suivant : 
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- lorsqu'une erreur est detectee, le cycle temps reel 
courant (numero N) est inhibe, aucune commande 
n'est generee : le microprocesseur passe en mode 
veille en attendant le cycle temps reel suivant , 
5 - le cycle temps reel suivant N+l s' execute non pas a 

partir du contexte N, qui n'est pas sur, mais du 
contexte precedent N-l, et des acquisitions du 
cycle courant N+l. 

On ne rejoue pas le cycle temps reel 
10 fautif, on se contente simplement d'inhiber le cycle 
temps reel courant et de restaurer le contexte du cycle 
precedent. En cas d' erreur, le microprocesseur ne 
genere pas les commandes du cycle temps reel courant 
puisqu'il s'est mis en veille : tout se passe comme 
15 s'il y avait un « trou » d'un cycle temps reel. 

La correction ne necessite aucune action 
specif ique : le microprocesseur s ' etant mis en veille 
apres une detection, il ne poursuit pas 1' execution du 
module de vote ; cela entraine nature! I einent une non 
20 permutation des contextes « Old » et « New » qui se 
fait en fin du module vote. 

Etant donne le caractere transitoire des 
erreurs detectees par le procede, une seule tentative 
de reprise est effectuee. Si elle est inf ructueuse , une 
25 reinitialisation complete du calculateur est alors 
necessaire . 



Sequenceur - Executlf temps reel 

Le sequenceur, ou l'executif temps reel, 
3 0 qui permettent 1 ' ordonnancement des taches logicielles, 
ne sont pas directement proteges. L'objectif est de 
pouvoir utiliser un executif commercial, done de ne pas 
le modifier pour y integrer des mecanismes de tolerance 
aux fautes. 
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Par contre, le temps d' execution qui leur 
est consacre, au regard du temps d' execution total, est 
tres faible. Par consequent, les erreurs 
d ' ordonnancement des taches sont des modes communs aux 
deux chaines virtuelles, non detectables, mais qui ont 
un impact tres reduit sur le taux de couverture. 

Par ailleurs, les zones de confinement 
permettent de bloquer une partie des erreurs non 
detectees avant qu'une mauvaise commande ne soit 
initialisee reduisant ainsi 1' impact des erreurs 
provenant, entre autre, de 1 ' ordonnanceur . 

Va.ria.zit.GS de realisation 

Des variantes du procede de 1 ' invention 
sont possibles, en particulier en simplifiant certaines 
de ses caracteristiques , par exemple. 

- Simplification des securites du vote : suppression 
du calcul de soitune de controle « checksum », le 
controle par procede de surveillance logiciel etant 
considere comme suffisant. 

- Simplification du dispositif de surveillance des 
acces memoire : pas de cloisons etanches entre 
ChV#l et ChV#2 (suppression de la cle indiquant la 
chaine virtuelle courante) , car la probability 
d' erreurs identiques entre les deux chaines est a 
priori tres faible. 

Developpement et realisation du procede de 1 'invention 

Le procede de 1 ' invention a ete developpe 
dans le but de realiser une validation la plus 
generique et la plus exhaustive possible, et 
d'effectuer une mesure du taux de couverture d'erreur 
que 1 ' on peut atteindre. 



WO 00/22529 



PCT/FR99/02430 



44 



Objectif 

L'objectif recherche etait de disposer 
d'une realisation (maquette) materielle et logicielle 
representative d'une application spatiale typique, dans 
5 le but de valider une fois pour toute le procede. Un 
pro jet spatial en effet analyse, dans les phases 
preliminaires, les differentes solutions utilisables. 
Pour les solutions nouvelles, une preuve de bon 
f onctionnement et d ' adequation au besoin est recherchee 

10 a travers une maquette, ce qui entraxne des delais 
notables avant que 1 ' equipe pro jet puisse se prononcer 
sur son utilisation. 

Par consequent, en avance de phase, une 
validation generique est entreprise afin de pouvoir 

15 fournir, a tout pro jet interesse, un dossier complet : 
specifications de besoin, specifications de 

realisation, dossiers de realisation, resultats de 
validation, resultats de mesure de taux de couverture 
d'erreurs, etc. 

20 Ainsi, en phase preliminaire , tout pro jet 

peut disposer du dossier complet de 

developpement/validation de ce procede sans avoir 
besoin de redevelopper une maquette. Par consequent, 
par exemple a travers un audit, il peut determiner 

25 rapidement 1' adequation entre le procede et le besoin 
du pro jet afin de prendre une decision quant a sa 
selection . 

Methode de validation 
30 Le procede est valide par injection de 

f autes . Deux types d' injection, avec des" objectif s 

distincts, sont ainsi realises. 

- Dans une premiere phase, une injection 

logicielle d'erreurs deterministes est realisee. Dans 
35 la mesure ou cette injection est synchrone, il est 



WO 00/22529 



PCT/FR99/02430 



45 



possible de rejouer les scenarios d'erreurs lorsgue le 
procede est mis en defaut. Cette phase permet ainsi de 
valider le procede, et potentiellement de le faire 
evoluer afin d'ameliorer ses performances de 
detection/correction d'erreurs. 

- Dans une deuxieme phase, une injection 
d'erreurs aleatoires est realisee en soumettant les 
composants principaux de la realisation a un faisceau 
de particules (ions lourds, protons) dans un 
accelerateur de particules. Cette phase, complementaire 
de la precedente, permet une validation de bout en bout 
car le spectre des erreurs injectees est plus large. De 
plus, puisque la distribution des erreurs est 
representative d'un environnement applicatif reel, elle 
15 permet de mesurer finement le taux de couverture 
d'erreurs du procede. 



10 



Realisation materielle 

La realisation materielle developpee est 
20 constitute principal ement de trois parties : 1' unite de 
traitement, 1' unite d ' acquisition et 1' unite 

d ' observabi lite. 

L ' unite de traitement est developpee autour 
d'un microprocesseur de type Power PC 603e et de sa 

25 memoire, ainsi que d'un composant programmable 
integrant tous les mecanismes materiels du procede. 

L 1 unite d' acquisition permet de simuler 
plusieurs canaux d ' acquisition pour le microprocesseur, 
chacun de ces canaux ayant des caracteristiques 

3 0 particulieres : acquisitions effectuees sur demande du 
microprocesseur (simulation de capteurs simples), 
acquisitions effectuees cycliquement et que le 
microprocesseur doit lire a la volee (simulation de 
capteurs intelligents tel qu ' un senseur stellaire ou un 

35 GPS) reception de telecommandes , etc. Ces canaux 
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d ' acquisition sont realises autour de nano-controleurs 
de type PIC 16C73A. 

L * unite d ' observabilite integre la 
commande- control e de la realisation (chargement du 
logiciel, observabilite du microprocesseur , etc.) ainsi 
qu'un canal permettant la simulation des actuations 
effectuees par le microprocesseur. Les sorties sur ce 
canal sont systematiquement controlees pour verifier 
qu'il n'y a pas de fausses actuations generees par le 
calculateur malgre le fait qu'il soit soumis a des 
erreurs transitoires . 

Realisation logicielle 

Afin d'etre le plus representatif possible 
des applications temps reel embarquees, spatiales ou 
d'autres domaines , le logiciel applicatif developpe 
(i.e. la realisation logicielle) dispose des 
caracteristiques suivantes : 

- sequencement base sur un sequenceur 
cyclique, qui sera ulterieurement remplace par un 
executif temps reel commercial ; 

- plusieurs taches applicatives 
principales, par exemple six, de priorites differentes, 
certaines cycliques, d'autres aperiodiques 
asynchrones ; l'une des taches etant le coeur du' 
programme de controle d 1 attitude d'un engin spatial ; 

- 1 ' application est basee sur des cycles 
temps reel rythmes par une horloge temps reel, les 
taches applicatives ayant des periodicites 
differentes ; 

- plusieurs taches applicatives, par 
exemple trois, sont preemptees par des taches plus 
prioritaires ; 
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- le logiciel doit reagir en temps reel a 
des evenements asynchrones exteirnes provenant des 
canaux d 1 acquisition . 



5 
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REVENDICATIONS 

1. Procede de traitement d'un systeme 
electronique soumis a des contraintes d'erreurs 
transitoires, caracterise en ce que, dans un cycle 
temps reel donne, on multiplexe dans le temps deux 
chaines virtuelles implantees sur une seule chaine 
physique ; les donnees resultantes de chaque execution 
d'une chaine virtuelle etant stockees afin d'etre 
votees avant utilisation, et en ce que, en cas de 
detection d'erreur, on inhibe le cycle temps reel en 
cours, et on recharge un contexte sain pour effectuer 
une reprise consistant en une execution nominale du 
cycle suivant a partir du contexte recharge. 

2. Procede selon la revendication 1, dans 
lequel on utilise trois niveaux de zones de confinement 
des erreurs : temporel, logiciel et materiel. 

3. Procede selon la revendication 1, dans 
lequel on utilise un plan memoire de 1' unite centrale 

0 protege des evenements singuliers par code detecteur et 
correcteur d'erreur. 

4. Procede selon la revendication 1, dans 
lequel la granularite de detection/correction retenue 
est le cycle temps reel du calculateur. 

5 5. Procede selon la revendication 1, dans 

lequel la fonction « sauvegarde de contexte » activee 
regulierement est realisee grace a un changement 
d ' index . 

6. Procede selon. la revendication 1, dans 
0 lequel la fonction « restauration de contexte » activee 
lors d'une correction d'erreurs est realisee grace au 
fait que 1 ' index indiquant le contexte juge sain du 
cycle temps reel precedent n'est pas change, alors 
qu'il a bascule en temps normal, c'est-a-dire 
5 lorsqu'aucune erreur n'est detectee ; ce « non 
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basculement » etant inherent a 1' inhibition du cycle 
temps reel dans lequel 1 ' erreur est detectee. 

7. Precede selon la revendication 1, dans 
lequel on utilise une segmentation de la memoire 
associee a un dispositif materiel de controle des 
droits d'acces. 

8 . Precede selon la revendication 7 , dans 
lequel le dispositif materiel de controle des droits 
d'acces permet plusieurs configuration d'acces, chaque 
configuration autorisant 1 ' acces a un ou plusieurs 
segments non contigus. 

9. Procede selon la revendication 7, dans 
lequel le dispositif materiel de controle des droits 
d'acces permet la selection des configurations d'acces 
selon des combinaisons logiques de une ou plusieurs 
cles . 

10. Procede selon la revendication 1, dans 
lequel on utilise une mise en table des 
variables /donnees qui doivent etre votees. 

11. Procede selon la revendication 1, dans 
lequel on utilise un vote logiciel dont l'integrite est 
assuree par des controles logiciels, incluant en 
particulier un processeur de surveillance logiciel, et 
materiels . 

12. Procede selon la revendication 1, dans 
lequel on utilise un controle des transferts vers 
1 'electronique de commande par un dispositif materiel 
verifiant les droits d'acces et limitant dans le temps 
la validite de ce transfert, delimitant ainsi une zone 
de confinement des erreurs au niveau materiel. 

13. Procede selon 1 ' une quelconque des 
revendications precedentes, qui est utilise dans le 

domaine spatial . 

14. Dispositif de surveillance des acces 
memoire dans un calculateur comprenant une unite 
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centrale, realisee autour d'un microprocesseur, et une 
memoire, caracterise en ce que la memoire est 
partitionnee en segments, et en ce que chaque segment a 
un droit d'acces defini par une fonction logique de 
5 tout ou partie des cles disponibles dans le dispositif, 
le droit d'acces a chacun des segments etant controle 

en temps reel. 

15. Dispositif selon la revendication 14, 
dans lequel, en fonction de la programmation des cles 

10 disponibles dans le dispositif, un ensemble de segments 
disjoints est accessible, en lecture seule pour 
certains segments, en lecture/ecriture pour d ' autres 
segments . 

16. Dispositif selon la revendication ; 14 , 
15 dans lequel la taille des segments est quelconque, afin 

d'etre optimisee pour une application donnee. 

17. Dispositif selon la revendication 14, 
dans lequel la definition du jeu de cles disponibles, 
les fonctions logiques de combinaison de ces cles et la 

20 configuration des segments accessibles en fonction de 
la programmation des cles, sont specif iques. 

18. Dispositif selon la revendication 14, 
dans lequel 1 ' un des segments dispose d ' une 
autorisation d'ecriture accessible selon un etat 

25 exceptionnel du calculateur, permettant ainsi un 
stockage sur de donnees critiques. 

19. Dispositif selon la revendication 14, 
dans lequel certains segments ont un acces autorise 
seulement si le microprocesseur a une tres forte 

30 probability d'etre en bon etat de f onctionnement , et 
permettent ainsi un stockage sur de donnees critiques. 

20. Dispositif selon la revendication 19, 
dans lequel les segments permettant un stockage sur de 
donnees critiques sont groupes par deux, travaillant en 

3 5 basculement. 
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En ce qui concerne les sequences de nucleotides ou d'acides amines divulguees dans la demande Internationale (le cas echeant) 
la recherche internationale a ete effectuee sur la base du listage des sequences : 
[~~] contenu dans la demande internationale, sous forme ecrite. 

deposee avec la demande internationale, sous forme dechiffrable par ordinateur. 
remis ulterieurement a I'administration, sous forme ecrite. 
remis ulterieurement a I'administration, sous forme dechiffrable par ordinateur. 



2. 
3. 



□ 
□ 
□ 
□ 

□ 

□ 
□ 



La declaration, selon laquelle le listage des sequences presents par ecrit et fourni ulterieurement ne vas pas au-dela de la 
divulgation faite dans la demande telle que deposee, a ete fournie. 

La declaration, selon laquelle les informations enregistrees sous forme dechiffrable par ordinateur sont identiques a celles 
du listage des sequences presents par ecrit, a ete fournie. 

II a ote estime que certaines revendicattons ne pouvaient pas faire I'objet d'une recherche (voir le cadre I). 
II y a absence d'unite de I'invention (voir le cadre II). 



4. En ce qui concerne le titre, 

fX] le texte est approuve tel qu'il a 6te remis par le deposant. 

| | Le texte a ete etabli par I'administration et a la teneur suivante: 



5. En ce qui concerne I'abrege, 

r^~| le texte est approuve tel qu'il a 6t6 remis par le deposant 

□ le texte (reproduit dans le cadre III) a ete etabli par I'administration conformement a la regie 38.2b). Le deposant peut 
presenter des observations a I'administration dans un deiai d'un mois a compter de la date d'expedttion du present rapport 
de recherche internationale. 

6. La figure des dessins a publier avec I'abrege est la Figure n° Sb 

[X| sugge"r6e par le deposant. Aucune des figures 

□ , , n'est a publier. 

parce que le deposant n'a pas sugg£r£ de figure. 

I I parce que cette figure caracterise mieux I'invention. 
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FURHT B ET AL: "A SURVEY OF 
MICROPROCESSOR ARCHITECTURES FOR MEMORY 
MANAGEMENT" 

COMPUTER , US, IEEE COMPUTER SOCIETY, LONG 
BEACH. , CA, US, 

vol. 20, no. 3, page 48-67 XP002034222 

ISSN: 0018-9162 
page 64, colonne 2, ligne 9 -colonne 3, 
ligne 21 

EP 0 133 004 A (WESTINGH0USE BRAKE & 
SIGNAL) 13 fevrier 1985 (1985-02-13) 
revendi cation 1 

-/~ 



14 



15-20 
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suite du cadre C pour la fin de la liste des documents 



Les documents de families de brevets sont indiques en annexe 



° Categories speciales de documents cites: 

"A" document definissant I'etat general de la technique, non 

considere comme particulierement pertinent 
"E" document anterieur, mais publie a la date de dep6t international 

ou apres cette date 
"L" document pouvant jeter un doute sur une revendication de 

priorite ou cite pour determiner la date de publication d'une 

autre citation ou pour une raison speciale (telle qu'indiquee) 

"O" document se referant a une divulgation orale, a un usage, a 
une exposition ou tous autres moyens 

"P" document publie avant la date de depot international, mais 
posterieurement a la date de priorite revendlquee 



"T " document ulterieur publie apres la date de depot international ou la 
date de priorite et rr appartenenant pas a I'etat de la 
technique pertinent, mais cite pour comprendre te principe 
ou la theorie constituant la base de ('invention 

x • document particulierement pertinent; I'inven tion revendlquee ne peut 
•?tre consideree comme nouvelle ou comme impfiquant une activite 
tnventive par rapport au document considere isolement 

• ' Jocument particulierement pertinent; I'inven tion revendiquee 
n.; peut etre consideree comme impliquant une activite inventive 
lorsque le document est associe a un ou plusieurs autres 
;ocumgnts de meme nature, cette combtnaison etant evidente 
r ;ur une personne du metier 

: - -t.mjnt qui fait partle de la meme famine de brevets 
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JANUSZ SOSNOWSKI: "TRANSIENT ; FAULT 
TOLERANCE IN DIGITAL SYSTEMS" 
IEEE MICRO, 
vol . 14, no. 1 , 

1 fevrier 1994 (1994-02-01), pages 24-35, 
XP000433306 

page 27, colonne de droite, ligne 17 -page 

28, colonne de droite, ligne 40 

page 28, colonne de droite, ligne 23-40 

MAHM00D A ET AL: "CONCURRENT ERROR 
DETECTION USING WATCHDOG PROCESSORS - A 
SURVEY" 

IEEE TRANSACTIONS ON COMPUTERS, 
vol. 37, no. 2, 

1 fevrier 1988 (1988-02-01), pages 

160-174, XP000648398 

abrege 

EP 0 813 152 A (SHARP KK ; SHARP MICROELECT 
TECH INC (US)) 

17 decembre 1997 (1997-12-17) 
abrege; figure 3 
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